グローバルプライバシーポリシー
1. 概要と目的
個人データの保護、ならびにプライバシーおよびデータ保護に関する法律と規制の遵守は、当組織およびその関連会社(以下「当社」「私たち」)にとって重要です。私たちはこのことを真摯に受け止め、従業員、取引先、顧客に関する情報を取り扱う際に、プライバシーの権利を保証することを目指しています。
このグローバルプライバシーポリシー(以下「本ポリシー」)は、プライバシーおよびデータ保護のリスクに対応するための包括的なガバナンスの枠組みを確立するものです。具体的には、本ポリシーの別紙AとBは、当該別紙に規定されているとおり、それぞれコロンビア法およびメキシコ法に基づく特定の要求事項に対応しています。
本ポリシーは、別紙および補足文書とともに、組織全体にわたってプライバシー上のリスク管理に対して一貫したアプローチを実現するプロセスとツールを記載しています。従業員、取引先、顧客の個人情報を保護することは、従業員、取引先、顧客の信頼を守るための基盤となります。
特に、本ポリシーでは、
- 当社のグローバルなプライバシー枠組みを支える、次のようなデータ保護原則を定めています。
- データ保護の役割と責任を明らかにして説明する。
- プライバシープログラムを確立する。
- 本ポリシーをサポートし、本ポリシーとともに当社のプライバシー枠組みを構成する内部のポリシー、手順、および基準を特定する。
- 従業員、請負業者、コンサルタント、および当社にサポートやサービスを提供する者が、取り扱う個人データの機密性と安全性を保持するために遵守しなければならない要求事項のリスト(網羅的ではない)を記載する。
本ポリシーは、許容される行為や禁止される行為を網羅的にリストアップするものではなく、またすべてのルールを規定するものでもありません。本ポリシーは、適切なビジネス上の判断と適切な注意を払う責任に代わるものではありません。本ポリシーに明記されていない具体的な懸念や問題を抱える個人は、引き続き適切なルートを通じて適切な助言を求める必要があります。
2. 適用範囲と施行
本ポリシーは、個人データの処理を伴う世界中のすべての業務運営に関係して、当社のすべての取締役、管理職、従業員、請負業者、コンサルタント、および当組織内でサポートやサービスを提供するすべての人に適用されます。
本ポリシーを遵守することは、すべての取締役、管理職、従業員、請負業者、コンサルタント、および当組織を支援またはサービスするすべての者の責任です。契約および必須のトレーニングを通じて、本ポリシーを承認し、理解することが求められます。本ポリシーに従わない場合、雇用条件に違反する可能性があり、雇用またはサービス契約の解除を含む懲戒処分を受ける可能性があります。
上級管理職は、本ポリシーの遵守を確保する最終的な責任を負います。法務部は内部監査と連携して、本ポリシーの遵守を監視する責任を負います。
定義
3. データ保護原則
当組織のビジネス運営は、常に以下に定めるデータ保護原則に沿ったものでなければなりません。これらの原則は、私たちのすべてのビジネスを拘束します。
- 合法的で、公正かつ透明性のある処理
当組織は、合法的で、公正かつ透明性のある方法でのみ個人データを使用します。
私たちは、当社がビジネスを運営する各法域におけるデータ保護法とプライバシー法を遵守します。法律で義務づけられている場合、私たちはまた、当社がどのような情報を収集し、それをどのように使用し、どのような選択肢があるのかを個人が理解できるようにすることに取り組みます。当社は、従業員、請負業者、コンサルタント、その他の労働者、消費者、および取引先に対し、プライバシーステートメントにおいて、簡潔で明確に説明しています。当社は、プライバシーステートメントを定期的にレビューし、最新の状態に保つとともに、当社の社内慣行と一致していることを確認します。 - 目的の制限
私たちは、特定された明確かつ合法的な目的のためにのみ個人データを収集し、その目的を達成するために必要な範囲の個人データのみを収集します。個人データは提供するサービスの向上に役立ちますが、明確な目標に見合った方法でのみ使用します。 - データの正確性
私たちは、当社が保有する個人データが正確で、最新であり、収集目的に確実に関連するようにするための措置を講じます。 - データ保持
私たちは、個人データを、その使用目的に必要な範囲に限定して、特定可能な形で保管します。 - 個人の権利
私たちは、適用法に従い、個人データの処理に関する個人のプライバシー権を促進することに全力を尽くします。 - 情報セキュリティ
私たちは、適切な物理的、技術的、組織的手段を用いて個人データを安全に保管し、すべてのシステムにおいて常にその完全性、機密性、可用性を確保します。
私たちはまた、当社に代わって個人データを処理する可能性のある当社のベンダーとサプライヤーが、当該データの機密性、完全性、および可用性を保持するよう確保するように努めます。 - 個人データの国際転送
当組織はグローバルにビジネスを展開しているため、国際的に情報を転送する必要があります。私たちは、適切なデータ保護法がない国へ転送する際に個人データを保護するために、適用法で義務づけられている適切な保護措置が講じられていることを確認することに全力を尽くします。 - 説明責任
私たちには全員、データ保護原則を守り、個人のプライバシー権を尊重する責任があります。私たちには、従業員、請負業者、コンサルタント、その他の労働者、消費者、ビジネスパートナーの個人データを保護する集団的かつ個人的な義務があります。信頼できる環境を作り、適用されるデータ保護法を遵守するために、当組織内で活動する個人や当組織を代表して活動するすべての個人は、当組織の個人データ保護ポリシーを遵守し、当組織が個人データ保護のコミットメントを守るよう支援しなければなりません。
4. 役割と責任
当組織内のさまざまな企業レベルのさまざまな利害関係者が、全体的なプライバシーリスク管理とデータ保護コンプライアンスを確保する役割を担っています。具体的な役割と責任を担うものとして、以下の事務所と職員が特定されています。
- 法務部は、プライバシーコンプライアンスの推進と確保、プライバシー管理とコンプライアンスプログラムの全体的な監督、データ主体からの問い合わせや要求への対応、データ保護に関する規制当局の要求への対応、個人データ保護の中核をなす情報セキュリティを確保するために必要な場合にはIT部と連携することに責任を負います。
- IT部は、当社の内部ネットワークおよびシステムの保護と監視について責任を負い、特に、これらのネットワークとシステムにわたって保存、転送、アクセス、および使用される個人データが、データ侵害から適切に保護されていることを確認します。IT部はまた、データ保護影響評価(DPIA)などの重要なデータ保護活動への参加についても責任を負います。
- 人事部は、従業員、請負業者、コンサルタント、その他サービスやサポートを提供する者の個人データを、適用法を遵守して適切に取り扱う責任を負います。人事部はまた、従業員、請負業者、コンサルタント、その他の労働者からのデータ保護権行使の要求に対応し、その他の問い合わせや苦情を法務部にエスカレーションする責任を負います。人事部は、従業員、請負業者、コンサルタント、その他の労働者の個人データに影響を与える新たな処理活動についても法務部に通知しなければなりません。人事部は、新しい人事処理活動に対するデータ保護影響評価(DPIA)の実施、従業員、請負業者、コンサルタント、その他の労働者に対するプライバシーポリシーの更新、および個人データ保護(本ポリシーを含む)に関する義務と責任を周知する活動に従事する必要があります。
さらに、個人データを処理するすべてのビジネス機能は以下について責任を負います。
- 同機能によって実行される処理に関連するプライバシーリスクを管理する。
- 社内のポリシーと手順で要求される場合は、法務部に照会する。
- 処理する個人データのセキュリティを確保する。
- プライバシーに関するインシデントを処理し、必要に応じてエスカレーションする。
すべての取締役、管理職、従業員、請負業者、コンサルタント、労働者は、使用する個人データの機密を保持し、本ポリシーおよびその他の補足的なポリシー、手順、基準(以下の「ポリシー枠組み」で特定)に従い、この情報を安全に取り扱う責任があります。
5. プライバシープログラム
当社の法務部は、プライバシープログラムを監督します。このプログラムは、ビジネスニーズとビジネス戦略に対応しながら、プライバシーリスクを管理する、包括的で協調的なアプローチを規定するものです。当社のプライバシープログラムは、最低限以下の要素で構成されます。
- ポリシー枠組み
- 法規制遵守
- ワンストップ・ショップ
- データ保護に関するコンプライアンスの文書化(決定、実施、監査)
- 処理活動の記録
- データ保護影響評価
- ベンダーのプライバシーリスク管理
- データ保護トレーニング
- データ漏えい管理
- データ主体の権利
- ポリシー枠組み
当組織はいかなる時も、本ポリシー、「行動規範と企業倫理」、「情報技術の許容される使用に関するポリシー」、「データの分類と取り扱いに関するポリシー」、「インシデント対応ポリシー」、およびスタッフ、オンラインユーザー、およびその他の個人に対する「プライバシー告知」など、プライバシーに関連するすべての社内ポリシー、手順、および基準を遵守して運営しなければなりません。これらは随時更新または置き換えられる可能性があり、以下のリストの範囲が追加ポリシーに拡大される可能性がありますので、注意してください。 - 法規制遵守
法務部は、データ主体へのプライバシー告知、必要な場合にはデータ処理に対する同意の取得など、データ保護に関する法的要求事項を理解させ遵守させるためのプロセスを常に維持するものとします。法務部は、適用される地域全体でプライバシーに関する法律が一貫して対処されるように確保します。 - ワンストップ・ショップ
法務部は上級管理職と共同で、データ処理活動に基づいて当社の主要拠点の所在地を判断し、国境を越えた処理に関する欧州連合内の主管監督機関を特定します。その判断は文書化する必要があります。法務部は、主管監督当局機関が発行するガイダンスやその他の提出物を注意深く監視し、執行の優先順位を把握するものとします。 - データ保護コンプライアンスの文書化(決定、実施、監査)
法務部は、関係ビジネス機能の支援を受けながら、プライバシーリスク管理とデータ保護法遵守のために下された決定と措置の記録を作成し、維持します。また、必要に応じて規制当局との協力を効果的に実現し、いかなる時も当組織のプライバシーコンプライアンスを常に文書化し、実証します。
プライバシーに関連する決定や措置が地域レベルまたは事業レベルで行われる場合、関連するポリシーと手順により記録の適切な所有権と維持責任を定めます。
法務部はまた、適用されるデータ保護法(例:同意書、データ主体への通知、個人データ違反の登録)の遵守を証明するために必要とされる可能性のある追加記録を確実に作成して、監督する責任を負います。 - 処理活動の記録
法務部は、ある時点における当組織内のすべての処理活動のリストを収集し、これを最新の状態に保ちます。この文書は、ビジネス運営の変化を反映するため、随時更新します。IT部、人事部、および個人データの処理に関与するその他のビジネス機能は、(データの使用目的やデータ転送などの関連情報を提供して)処理活動の記録に貢献する必要があります。 - データ保護影響評価
法務部は、適用法により義務づけられる場合、またはプライバシーリスクを管理するために適切と考えられる場合、新しい製品、テクノロジー、および事業運営に関してデータ保護影響評価(DPIA)を実施するためのガイドラインと手順を確立します。データ保護影響評価(DPIA)では、関連する各ビジネス機能の意見を求め、それらを関与させる必要があります。 - ベンダーのプライバシーリスク管理
当社に代わって個人データを処理するサードパーティベンダー(以下「データ処理者」)を雇用する際のリスク管理は、当社のデータ保護コンプライアンスを確保する上で極めて重要です。法務部は、サードパーティのリスクアセスメントに必要なガイドラインとプライバシーの内容を定めて、新たなプライバシーリスクに対処するため、必要に応じて最新の内容に更新するものとします。サードパーティに関連するリスクは、法務部にエスカレーションしなければなりません。
特に、法務部は以下を徹底するものとします。- いかなるデータ処理者も、ビジネスパートナーとして選定する前に、情報セキュリティ対策に関する十分なデューデリジェンスを実施する。
- データ処理者と適切な処理契約を締結し、データ処理者にデータ保護義務を課す。
- データ処理者が処理契約および適用法を遵守しているかどうかを、随時監視する。
- データ保護トレーニング
年間コンプライアンストレーニング計画の一環でデータ保護トレーニングを実施し、入社時およびその後も定期的に、関連スタッフにトレーニングを義務づけるものとする。法務部は、トレーニング内容が常に最新かつ当組織のビジネス運営に適したものであり、定期的に更新されるように確保する。トレーニング修了率を監視して、文書化するものとする(トレーニング記録など)。 - データ漏えい管理
すべてのビジネス機能は、個人データのセキュリティインシデントに関係するビジネス運営を監視し、タイムリーかつ一貫した方法で把握し、適切なリスク軽減戦略を実行する責任を負います。
すべての従業員とビジネス機能は、当社のインシデント対応ポリシーに従って、データ侵害が実際に発生した場合、またはその疑いがある場合は、直ちにエスカレーションする責任を負います。関連する事務所やビジネス機能は、そのようなポリシーに従って違反管理に参加する必要があります。
法務部はIT部と共同で、既知のインシデントとリスクイベントを特定し、評価して、適切に是正することを確保し、根本原因に対処できるよう傾向を評価します。法務部はまた、適用法により義務づけられる場合、管轄の監督官庁またはデータ主体に対して違反の通知を行うことにも対応します。 - データ主体の権利
法務部は 、データ主体からの権利の要求(適用法に従って当社が保有する個人データへのアクセスを求める個人の要求など)に対応するために、人事部およびその他のオフィスにガイドラインおよび支援を提供し、またデータ主体に適用法に基づく権利を通知します。これには、データ主体の個人データと機微な個人データの処理に適用されるデータプライバシー法に当社が違反した場合に、データ主体に対し、関連するデータプライバシー政府規制当局に苦情を申し立てる権利を通知することが含まれます。
- ポリシー枠組み
6. 従業員、請負業者、コンサルタント、労働者が従う必要のあること
個人データを収集・使用する際にデータ保護原則を適用し、プライバシーに関するポリシー、手順、基準に従います。
特に以下のポリシーを遵守する必要があります。
- 許容される情報技術の使用に関するポリシー
- 機密データポリシー
- データの分類と取り扱いに関するポリシー
- 電子メールポリシー
- 暗号化ポリシー
- パスワードポリシー
- リモートアクセスポリシー
- サードパーティソフトウェアポリシー
- データ保持ポリシー
また、必要なデータ保護トレーニングをすべて修了する必要があります。
本ポリシーの規定に従わない場合、雇用または取引関係の終了を含む懲戒処分、および法的措置が取られる可能性があります。
7. 報告と質問
ICU Medicalの職員は、匿名かつ秘密厳守のホットライン(1-844-330-0007)を通じて、懸念事項を報告することができます。匿名および秘密厳守の報告は、電子メールreports@lighthouse-services.com(報告には会社名を含める必要があります)または秘密厳守のウェブ送信(http://www.lighthouse-services.com/icumed)を通じて行うか、またはhttps://ir.icumed.com/governance.cfmに掲載されているコーポレートガバナンスのウェブサイトの「ガバナンス報告書」の項を通じて行うこともできます。当社の代表者は、上司、人事部、コンプライアンス責任者、または法律顧問に秘密裏に報告することもできます。
8. ポリシーの修正
法務部は本ポリシーを毎年1回以上レビューして、変更を適宜勧告します。
当社は適切な場合、または必要な場合には、変更について従業員の注意を喚起します。
9. 例外とエスカレーション
本ポリシーのいかなる例外も、法務部による審査と承認を受ける必要があります。本ポリシーの例外はすべて、実施前に書面による承認を得なければなりません。
法務部は、法律と規制の要求事項に照らして、本ポリシーの適切な解釈に関係する疑問を解決する責任を負います。法務部は、本ポリシーの解釈に関する質問に対応する責任を負います。